|
中國IDC評述網(wǎng)10月17日報道:很多企業(yè)����,要么已經(jīng)配置了云計算���,要么即將配置云計算���。云計算是提高靈活性、減少成本的最新技術���。通過提供捆綁�����、可升級的軟件��、基礎設施�����、數(shù)據(jù)存儲及通信解決方案��,外包云計算供應商使公司節(jié)約了資金�����、避免了高成本IT承諾�、獲得了基于所需的有效系統(tǒng)規(guī)模,并且可迅速配置最新服務��。
一����、漫步云端前需要考慮的問題
然而,沒有免費的午餐��,外包云計算無法解決法律風險(伴隨第三方對數(shù)據(jù)存儲和傳輸位置的知曉而產(chǎn)生)這一關鍵問題����。本文討論的即是這一問題。在企業(yè)決定采用外包云計算解決方案時����,必須考慮到以下幾點����。
首先��,當然需要定義我們在討論的是什么��,因為對于“云計算”�����,有很多定義���。最近,一位知名CIO將其定義為:由某一組織控制虛擬服務器��,終端用戶可通過網(wǎng)絡訪問的計算應用技術��。我們將“云計算”定義為:商業(yè)軟件的服務提供��,通過網(wǎng)絡來應用軟件和虛擬服務器上存儲的數(shù)據(jù)�。外包云計算提供了一種商業(yè)化的企業(yè)技術:基礎設施即服務,軟件即服務����,及平臺即服務�����,所有這些服務提供都是在線的�����,并且在Web 2.0的框架之下����。當?shù)谌娇刂?ldquo;云”的任何部分����,相關的數(shù)據(jù)安全、隱私和從規(guī)問題就產(chǎn)生了�����。從某方面來看����,從確定的數(shù)據(jù)線被通信方案(捆綁了來自n家公司的數(shù)據(jù))所取代,這一問題就產(chǎn)生了���。第三方試圖充分提高虛擬化技術的效率��,并將傳統(tǒng)上企業(yè)自身擁有的功能(基礎設施���、系統(tǒng)平臺和軟件)商業(yè)化����,與此同時��,法律風險產(chǎn)生了����。
第三方解決方案的好處是商業(yè)軟件很好地建立了起來����。從利用多用戶需求的第三方軟件解決方案供應商,到外包基礎設施供應商(投資單一用戶無法實現(xiàn)的更快更新的技術解決方案)���,第三方可實現(xiàn)規(guī)模效益�����,同時將所提供功能的成本降低��。然而�����,有收益必然有風險��,以下是需要重點關注的風險問題��。
1�、數(shù)據(jù)的存儲和轉移
傳統(tǒng)的外包協(xié)議中,用戶可與供應商商議數(shù)據(jù)存儲地點的控制情況(包括備份流程在哪里進行)����。這樣,用戶和供應商均可了解�����,針對相關數(shù)據(jù)的傳輸法規(guī)��,應提供哪種管理辦法�。然而,對外包云計算的成本效益很高���,因為供應商可將數(shù)據(jù)轉移到世界任何地方��,也可將一個企業(yè)的數(shù)據(jù)發(fā)送到不同的地點����,這取決于容量、應用情況和帶寬�����。自由度的提高將導致處理流程不遵從全球眾多與數(shù)據(jù)存儲和轉移相關的法規(guī)�。
歷史上,外包計劃中��,用戶和供應商之間通常談論的風險是:用戶要求供應商采用特定流程�,以實現(xiàn)的數(shù)據(jù)轉移流程合規(guī)�。沒有這些要求,供應商就不對用戶數(shù)據(jù)的存儲和轉移負法律責任�����。隨著時間的發(fā)展��,供應商意識到自己應該對用戶的要求做出回應���,并且為了保證規(guī)模經(jīng)濟的持續(xù)增長�,他們必須將這些需求整合進解決方案。最終�����,我們相信外包云計算供應商會將數(shù)據(jù)轉移的從規(guī)組件內(nèi)置于其商業(yè)化技術服務�����,從規(guī)的成本會由于用戶規(guī)模的擴大而被平衡�����,同時�����,外包供應商在制定服務價格時將計入這一成本��。
比如�,早期的云供應商允許客戶通過“可用區(qū)域”控制某些特定技術的數(shù)據(jù)存儲地點。因為每個國家的數(shù)據(jù)轉移法規(guī)不同���,因此云供應商可將數(shù)據(jù)存儲在某一事先確定的地區(qū)(比如����,歐洲經(jīng)濟區(qū));遵從此地的數(shù)據(jù)轉出法規(guī)。采用這一方法���,數(shù)據(jù)可不斷地從這一供應商的歐洲服務器中進行轉移����,而不會出現(xiàn)從規(guī)問題�,因為數(shù)據(jù)被存儲在特定的經(jīng)許可的區(qū)域。
2��、數(shù)據(jù)安全
數(shù)據(jù)安全和數(shù)據(jù)保護通常是外包計劃中主要關注的問題���。外包協(xié)議計劃精確設定了供應商必須采用的安全管理技術��。這些安全管理計劃的開展是由敏感數(shù)據(jù)(個人數(shù)據(jù)或財政數(shù)據(jù))保護規(guī)則推動的�。如何采用外包云計算解決方案對其進行控制?思科公司的CEO說云計算兼職如同一場數(shù)據(jù)安全的噩夢��,并且無法用傳統(tǒng)方式對其進行控制���。對于大多數(shù)公司,對包含敏感數(shù)據(jù)或秘密數(shù)據(jù)的應用軟件實施外包云計算�����,數(shù)據(jù)安全和數(shù)據(jù)保護是最大障礙。
有了ASP�����、電信傳輸�����、Service Bureau協(xié)議�,云計算協(xié)議將逐漸成為單向的,且協(xié)商起來較為困難�。比如,一份在線的云供應商合同是無法協(xié)商的�����,并且相當偏向供應商:供應商對數(shù)據(jù)安全不負任何責任;用戶對數(shù)據(jù)的安全�、保護和備份負全責;對所有未授權訪問、使用���、毀壞���、刪除和損失的任何數(shù)據(jù),供應商也不負任何責任�。
因此�,與云供應商簽訂外包合同需要更認真仔細��,少包含術語和條件�����。用戶應關注外包云計算解決方案是否保證了數(shù)據(jù)合規(guī)�����,最終��,用戶將依賴供應商提供的解決方案文本����,并認為已確保合規(guī)(無論是直接——比如采用銀行或醫(yī)療軟件;還是間接,比如詮釋特定的數(shù)據(jù)存儲地點)�����。結果是��,供應商沒實現(xiàn)用戶數(shù)據(jù)處理過程的合規(guī)即為服務失敗�,可被認為是未能遵循服務說明�,需要依照合同進行賠償���。
跟任何外包計劃一樣,回顧供應商的解決方案以決定對于數(shù)據(jù)訪問的控制���,這是一個關鍵步驟����。這一供應商解決方案是否實現(xiàn)了對企業(yè)數(shù)據(jù)訪問權限的限制����,是否實現(xiàn)了對訪問者的監(jiān)控(這樣你可知道誰在何時訪問了哪些數(shù)據(jù))?哪些規(guī)范需要加密?數(shù)據(jù)歸檔的頻率?是否所有的應用軟件和軟件進行了最新的安全升級?安全水平協(xié)議是否包括這一條款:安全系統(tǒng)的維持情況是一個性能參數(shù)。
3�����、更換供應商
采用外包云計算服務必須考慮到的另一個風險是:在外包服務終止前確保業(yè)務連續(xù)性(business continuity)����。大多數(shù)外包協(xié)議都商定了退出計劃及轉移服務,這包括:將某一格式的數(shù)據(jù)(可被另一供應商或企業(yè)內(nèi)部解決方案利用)進行轉移���。特定的云服務協(xié)議不包含這些問題的處理條款��。比如�����,在線云供應商協(xié)議允許供應商在任意時間中止協(xié)議���,且沒有保持數(shù)據(jù)的責任���。至多,協(xié)議承諾不會在三十天內(nèi)有意清除數(shù)據(jù)����。你必須與供應商就終止服務的問題進行協(xié)商,內(nèi)容包括:將數(shù)據(jù)轉移到另一供應商或企業(yè)內(nèi)部�����,同時你應該確保數(shù)據(jù)定期轉移到備份供應商那里����,以保證在災難事件發(fā)生時業(yè)務的連續(xù)性。
4�、其他風險
外包云計算解決方案的風險有很多與其他外包解決方案相同,但是這些風險很難通過協(xié)議進行轉嫁����。比如,外包意味著將服務水平的測量和報告任務轉給供應商�����,依靠供應商的基礎設施來發(fā)送關鍵性能信息�����。在云解決方案中��,定制空間更小�����。相似的�,除非進行精確的外包條款協(xié)商,一旦出現(xiàn)問題或合作關系解除�,大多數(shù)供應商給用戶的賠償數(shù)額不足。而相對傳統(tǒng)的外包協(xié)議����,云合作協(xié)議所提供的談判空間很小。但是云外包的價格卻很有誘惑力����。
二�、建議
因為企業(yè)對數(shù)據(jù)的控制負有責任��,因此必須確保企業(yè)的云供應商從規(guī)�����。以下是在實施外包云計算時�,一些有用的數(shù)據(jù)保護措施:
確定是否外包云計算適合你的應用軟件。如果包含有敏感數(shù)據(jù)�,則不適宜外包。
在將數(shù)據(jù)發(fā)到云系統(tǒng)之前進行加密�����。業(yè)內(nèi)專家認為這是減少潛在風險的好方法����。
控制數(shù)據(jù)訪問。確保供應商限制了數(shù)據(jù)的訪問者��,并確保了訪問者被監(jiān)控����。
銘記e-discovery責任和迅速獲取供應商電子記錄的需求。
遵從所有必須遵從的規(guī)則。因為你的企業(yè)必須承擔所有不遵從數(shù)據(jù)保護法規(guī)而引發(fā)的問題���。必須明確企業(yè)數(shù)據(jù)的存放地點�,云供應商必須給你提供這一信息�����,這樣就可以自檢是否存在從規(guī)風險�����。如果供應商未告知你數(shù)據(jù)的存放地點����,那么不該發(fā)送任何敏感數(shù)據(jù)���。
可能的情況下�,控制數(shù)據(jù)的存放地點�。這是確保供應商(更深層次說,對于用戶同樣如此)遵從數(shù)據(jù)安全法規(guī)的最好辦法�。限制云供應商對數(shù)據(jù)集存放地點的決定權。
通過協(xié)議條款來要求供應商更新其保護系統(tǒng)�����,以實現(xiàn)與業(yè)內(nèi)最佳實施策略相一致。
制訂適宜的災難恢復和業(yè)務連續(xù)性計劃�。要求供應商對你的企業(yè)數(shù)據(jù)進行存檔,這樣在系統(tǒng)崩潰時仍可訪問數(shù)據(jù)�。
由非云供應商的另一方對定期你企業(yè)的數(shù)據(jù)進行備份和/或存儲。
利用技術和從規(guī)審計來確保數(shù)據(jù)安全及系統(tǒng)的完整性���。
在協(xié)約終止時��,數(shù)據(jù)傳回或供應商備份的流程清晰����。
靈活地控制與外包云計算供應商之間關系����,利用服務水平來保證供應商從規(guī)。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商���!15年品質保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
